Please wait while your connection is being... Résolu/Fermé

Question

Bonjour, 

Je tente de me débarasser de l'infection 'Please wait while the connection is being established" et votre aide sera la bienvenue!

Voici le rapport OTL.txt : http://pjjoint.malekal.com/files.php?id=20120319_b13t10q5d7r6
Et le rapport extra.txt : http://pjjoint.malekal.com/files.php?id=20120319_z9p6s13e6t7

Merci beaucoup!

Esteban

Malekal_morte- · Answer

Salut,


Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Users\User\AppData\Roaming\flint4ytw.exe ()
O4 - HKU\User_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Users\User\AppData\Roaming\flint4ytw.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableInstallerDetection = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableUIADesktopToggle = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ValidateAdminCodeSignatures = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: FilterAdministratorToken = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_TEXT = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_BITMAP = 2 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_OEMTEXT = 7 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIB = 8 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_PALETTE = 9 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_UNICODETEXT = 13 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIBV5 = 17 
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe () 
O20 - HKLM Winlogon: UserInit - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe ()
O20 - HKU\User_ON_C Winlogon: Shell - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe () 
O20 - HKU\User_ON_C Winlogon: UserInit - (C:\Users\User\AppData\Roaming\flint4ytw.exe) - C:\Users\User\AppData\Roaming\flint4ytw.exe ()
[2012/02/16 17:19:40 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\Babylon 
[2012/02/16 17:19:40 | 000,000,000 | ---D | M] -- C:\ProgramData\Babylon 
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"Shell"="explorer.exe"] 

* redemarre le pc sous windows et poste le rapport ici 


puis :

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.

Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

Esteban · Answer

Merci beaucoup.
Voici le rapport

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\K3aRyluP6SiCkoR deleted successfully.
C:\Users\User\AppData\Roaming\flint4ytw.exe moved successfully.
Registry value HKEY_USERS\User_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\K3aRyluP6SiCkoR deleted successfully.
File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\EnableInstallerDetection deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\EnableSecureUIAPaths deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\EnableUIADesktopToggle deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\EnableVirtualization deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\PromptOnSecureDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\ValidateAdminCodeSignatures deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\dontdisplaylastusername deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\legalnoticecaption deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\legalnoticetext deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\scforceoption deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\shutdownwithoutlogon deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\undockwithoutlogon deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\FilterAdministratorToken deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_TEXT deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_BITMAP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_OEMTEXT deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_DIB deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_PALETTE deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_UNICODETEXT deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats\CF_DIBV5 deleted successfully.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDesktop deleted successfully.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableRegistryTools deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:C:\Users\User\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\User\AppData\Roaming\flint4ytw.exe not found.
C:\Users\User\AppData\Roaming\Babylon folder moved successfully.
C:\ProgramData\Babylon folder moved successfully.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit"|"C:\WINDOWS\system32\userinit.exe," /E : value set successfully!
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"|"explorer.exe"] /E : value set successfully!
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 03192012_095104


Par contre maintenant : Impossible de relancer sous Windows. Ecran noir après écran de lancement !

Une idée?

Merci !

Malekal_morte- · Answer

Refais un scan OTL depuis OTLPE.

Esteban · Answer

Voici les résultats du dernier scan:

OLT : http://pjjoint.malekal.com/files.php?id=20120319_i11r14w9d10c13
Extra : http://pjjoint.malekal.com/files.php?id=20120319_r10k108o10u8

Merci !

Malekal_morte- · Answer

bizarre que tu aies uin écran noir.
C:\windows\system32\userinit.exe existe bien ?

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O20 - HKU\User_ON_C Winlogon: UserInit - (c:\windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) 

* redemarre le pc sous windows et poste le rapport ici

Esteban · Answer

Oui, C:\windows\system32\userinit.exe est bien présent.
Mais blocage sur l'écran noir. Le gestionnaire des tâches est pourtant accessible avec un ctrl/Alt/supr. Mais ça n'avance plus...

Voici le rapport du fix : 

========== OTL ==========
Registry value HKEY_USERS\User_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:c:\windows\system32\userinit.exe deleted successfully.
Item C:\Windows\System32\userinit.exe is whitelisted and cannot be moved.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 03192012_113040

Une idée?
Merci!

Malekal_morte- · Answer

. Le gestionnaire des tâches est pourtant accessible avec un ctrl/Alt/supr

Menu Fichier / Nouvelle tâche et tape explorer.exe
tu récups le bureau ?

Esteban · Answer

Oui, effectivement.

Mais bureau entièrement vierge.

Et quand je reboote, écran noir à nouveau....

???

Merci !

Malekal_morte- · Answer

ca c'est normal. 

Remets le bureau et :

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)  
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 

Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad  


Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Esteban · Answer

Le voici : RogueKiller V7.3.1 [10/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: User [Droits d'admin] Mode: Recherche -- Date: 19/03/2012 12:09:12 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] cacaoweb.exe -- C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 10 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [SUSP PATH] HKUS\S-1-5-21-70149553-3387848507-3480004700-1000[...]\Run : cacaoweb ("C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200BEVT-22A23T0 ATA Device +++++ --- User --- [MBR] 06fcc7272c56bb1740c12b661d210054 [BSP] ae315628b057aa70569e31c992178acb : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo 1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117961 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: General USB Flash Disk USB Device +++++ --- User --- [MBR] d29963bd557c9b7bdb728b1ce2afabd6 [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown Partition table: 0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 3822 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt Est-ce que ça explique qu'Explorer ne se charge pas? Merci!

Malekal_morte- · Answer

En suppression RogueKiller.
Non ça va faire récup les icones.

~~

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Esteban · Answer

Rapport après supression : RogueKiller V7.3.1 [10/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: User [Droits d'admin] Mode: Suppression -- Date: 19/03/2012 12:15:38 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] cacaoweb.exe -- C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 9 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\User\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200BEVT-22A23T0 ATA Device +++++ --- User --- [MBR] 06fcc7272c56bb1740c12b661d210054 [BSP] ae315628b057aa70569e31c992178acb : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo 1 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 20973568 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 21178368 | Size: 176942 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 383555584 | Size: 117961 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt Merci!

Esteban · Answer

Voilà le scan:

Extras : http://pjjoint.malekal.com/files.php?id=20120319_r5i12i7n12v9
OTL : http://pjjoint.malekal.com/files.php?id=20120319_g14s10r11p14f9

Merci !

Malekal_morte- · Answer

voila pourquoi ça m*rde - y a un " qui se balalde :  
O20 - HKLM Winlogon: Shell - (explorer.exe") - C:\windows\explorer.exe (Microsoft Corporation)  

Je me suis planté plus haut dans le c/c y a un ] à la fin d'explorer.exe.  
Désolé.  

~~  

Relance OTL.   
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).  
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:    

:reg  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"Shell"="explorer.exe"   

* redemarre le pc sous windows et poste le rapport ici   

Tu devrais récup ton bureau avec les icônes.  

Like the angel you are, you laugh creating a lightness in my chest,  
Your eyes they penetrate me,  
(Your answer's always 'maybe')  
That's when I got up and left

Esteban · Answer

Voilà le rapport:

========== REGISTRY ==========
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"|"explorer.exe" /E : value set successfully!
 
OTL by OldTimer - Version 3.2.39.1 log created on 03192012_124349

Je tente de rebooter et je reviens

Esteban · Answer

Ok, ça fonctionne ! Grand grand merci à toi !
Par contre, la machine semble tourner au ralenti maintenant....
Aurais-tu d'autres conseils ou réglages à effectuer?
Merci encore!

Malekal_morte- · Answer

Désinstale cacaoweb.


- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

Esteban · Answer

Voici le rapport:
http://pjjoint.malekal.com/files.php?id=HijackThis_20120319_l5g109q9o15

(Hijack a précisé que le fichier Host ne pouvait être scanné - ou quelque chose dans ce genre - je n'ai pas noté, désolé)

(Pas encore supprimé Cacaoweb, je n'ai pas russi à faire la manip)

Que penses-tu du rapport?

Merci!

Malekal_morte- · Answer

Rien d'extraordinaire. 

Désinstalle Classic Shell si tu t'en sers pas. 

Relance HijackThis (si tu es sur Vista/Seven - faire un clic droit et executer en tant qu'administrateur) et coche ces lignes : 

 O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun   
 O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe   
 O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe   
 O4 - HKLM\..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe /nogui   
 O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s   
 O4 - HKLM\..\Run: [CardDetectorHUAWEI1752_1552] C:\Program Files\CardDetector\HUAWEI1752_1552\CardDetector.exe   
 O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe   
O4 - Global Startup: Bluetooth Manager.lnk = ? 

==> clic sur fix checked 

Redémarre l'ordinateur 


Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis ! 


Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Esteban · Answer

Vraiment, un grand grand merci pour tous les conseils !
Bonne journée à toi.
Esteban

Malekal_morte- · Answer

bonne fin de journée aussi :)

Please wait while your connection is being...

21 réponses

Discussions similaires